当前位置:
首页 > 文章收藏 > 破解黑客系列——冰河木马清除法

破解黑客系列——冰河木马清除法

  今天,也就是8月9日,我象往常一样开机后,回了QQ空间的贴以后就察看防BO病毒软件TCactive!,发现前几天显示框内只显示11个线程,今天却显示12个,想想这几天没有装任何软件,于是运行msconfig.exe,发现多出一个kernel32.exe,形似windowssystem下的kernel32.dll,当时没有多想。
  
  中午没事做,就随手拿起了8月23日出版的《电脑商情报》便埋头看了起来,看到“蔫老虎信箱”时,有一小篇读者来信是关于冰河病毒的,“从未染过”BO的我猛然一震,kernel32.exe是冰河病毒的程序,连忙开机查找,发现在windowssystem下有一同名文件,由于程序正被运行,无法删除,先删除注册表中所有与"kernel32.exe"有关的项,然后重启到MS-DOS下,用DELTREE命令删除,以为万事大吉,然而进入window界面后,发现其又在运行,病毒程序还在windowssystem下。
  
  到黑客网站上下载一“冰河V2.2版”,解压后有四个文件(G_Client.exe、G_Server.exe、operate.ini、readme.txt),进行解析,发现运行被监控端后台监控程序g_server.exe后即感染病毒,监控端通过监控端执行程序g_client.exe 进行监视。kernel32.exe是与文件类型(如txtfile,exefile)相关联,以便被删除后在打开相关文件时自动恢复。查找与病毒感染时间相近的文件,发现在windowssystem下有kernel32.exe 、sy***plr.exe、sendme.dll、sendme.dl_、sendme.cfg等文件,感染日期、时间基本相同,其中sy***plr.exe可打开TXT文件,正是与病毒关联的程序,将上述文件除kernel32.exe外全部删除 ,删除注册表中所有与“kernel32.exe”、“sy***plr.exe”有关的项,并在MS_DOS下删除kernel32.exe,重启多次未发现病毒,至此病毒完全消除。  
  
若要打开TXT文档,在打开方式中重新选择“NOTEPAD.EXE”,选择始终以该程序打开即可;我就曾在打开OICQ后,在网上与陌生人聊天,打开其留言,没想到无意中感染病毒。由此奉劝各位网友在网络中不要随意打开陌生人发来的E_mail或留言,以免不必要的麻烦!

打赏作者
如果喜欢小哲发布的内容,打赏犒劳下呗,不用很多,但你的鼓励将是我继续前进的动力!

您的支持将鼓励小哲继续努力!

[微信] 扫描二维码打赏

[支付宝] 扫描二维码打赏

luozhe99

IT从业人员,科技控,烧脑剧迷。 ——如果过去还值得眷恋,别太快冰释前嫌。

破解黑客系列——冰河木马清除法:等您坐沙发呢!

发表评论

头像
表情
还能输入210个字